ビジネスとIT活用に役立つブログBlog


Webサイト全体のHTTPS化「常時SSL」が必要な理由とメリットを理解しよう

この記事をシェアする:
ブラウザシェアの50%以上を占める「Google Chrome」。今月27日に正式リリースされた「Google Chrome 56」では、昨年Googleから予告されていたパスワードやクレジットカード情報を送信する入力欄があるHTTPサイトに対して、アドレスバーで警告が表示されるようになりました。
そして将来的には、すべてのHTTPサイト(非SSLサイト)に対して同じような警告を表示することも発表しています。
本記事では、Webサイト全体のHTTPS化「常時SSL」が必要な理由とメリットについて解説していきます。

アドレスバーに表示される「保護されていません」

Google Chrome 56では、機密性の高いパスワードやクレジットカード情報の入力を求める非SSLページ(http://で始まるページ)に対して、下記のようにアドレスバーに「保護されていません」のラベルが表示されます。
SSLに対応しているページであれば「保護された通信」のラベルが表示されます。

非SSLページ

パスワードやカード情報の入力を求めるページが非SSLの場合

SSLページ

SSL対応ページの場合

現時点では、アドレスバーに「保護されていません」が表示される条件は、フォーム項目にパスワードやクレジット カードの情報がある HTTP ページに限定されていますが、Googleは、将来的にすべての HTTP ページを安全でないと明示する予定と明言しています。

将来的には、すべての HTTP ページを安全でないと明示し、HTTP セキュリティ インジケーターを、破損した HTTPS に対して表示されるものと同じ赤い三角形に変更する予定です。引用元:Google公式ブログより抜粋
SSLとは?
SSLとは、インターネット上での通信を暗号化する技術です。主に個人情報を入力するフォームで第三者によるデータの盗聴やなりすまし、改ざんなどを防ぐために用いられています。

SSL暗号化通信について理解しよう

Webサイト全体のHTTPS化 「常時SSL」

SSLはこれまで主に「問い合わせフォーム」「ショッピングカート」「ログインページ」といった、個人情報を送受信するような情報のやり取りをするフォームなどだけで用いられてきました。しかし最近では、WebサイトのすべてのページをHTTPS化(SSL/TLS暗号化)する「常時SSL」化が大手Webサイトを中心に広がりをみせています。

では、なぜ常時SSLが必要なのか?

GoogleがWebサイトのHTTPS化を推進したり、常時SSLのWebサイトが増加したりしている主な理由は、セキュリティ面の強化です。

盗聴、パケット改ざんの防止

スマートフォンやタブレット端末などの急速的な普及に伴い、駅や空港さらには飲食店やコンビニなどあらゆる公共の場所で誰でも公衆無線LANを利用できるようになりました。しかし便利になった反面、これらの公衆無線LANはセキュリティレベルが低いため、悪意を持った第三者により通信を傍受されるリスクが高まります。
個人情報は、フォームに入力する名前やパスワード、クレジットカード番号だけではありません。HTTP通信時においてもcookie等のデータに閲覧履歴やログイン情報などの個人情報が含まれる場合があります。

なりすましの防止

信頼されるSSL認証局が、サイト運営企業に対して審査を行い、その実在性を証明(実在証明)したうえでSSLサーバ証明書を発行する「企業認証SSL」「EV認証SSL」を正規のWebサイトに導入することで、もしもユーザーが不正なサイトへ誘導された場合に正規のWebサイトではないことを気づかせることができます。

EV認証SSLの場合

EV認証SSLを導入した場合、各ブラウザのアドレスバーは下記のように表示されます。

Google Chrome (運営主体の組織名が表示されます。)

Fire Fox (運営主体の組織名が表示されます。)

Internet Explorer (アドレスバーが緑色に変化し、運営主体の組織名が表示されます。)

常時SSLのメリット

常時SSLはセキュリティ面や信頼性におけるメリットだけでなく、他にも下記のメリットがあります。

検索順位での優遇(Google)

Googleは2014年8月にHTTPSをランキングシグナルに使用することを発表しています。「httpのサイトよりhttpsのサイトの方が検索順位を優遇しますよ」というものです。しかし現状では、おまけ的な扱いで検索順位に大きな影響を与えるほどのシグナルでは無いと言われています。

参考:HTTPS をランキング シグナルに使用します(Googleウェブマスター向け公式ブログ)

また翌年の2015年12月にも、一定の条件を満たした場合、同じコンテンツであれば、HTTPのページよりもHTTPSのページを優先的に登録する仕組みを導入したことを発表しました。Googleは、サイト運営者に対しHTTPからHTTPSへの移行を推奨するためにこれらの検索エンジンにおける優遇措置を講じています。

参考:HTTPS ページが優先的にインデックスに登録されるようになります(Googleウェブマスター向け公式ブログ)

通信速度の向上

少し技術的な話になりますが、Webページの表示を高速化することができる次世代プロトコル「HTTP/2」が登場したことにより、従来の「HTTP/1.1」でHTTPS接続した場合に比べ、Webページが表示されるまでの待ち時間を短縮できるようになりました。
主要なブラウザでは、この次世代プロトコル「HTTP/2」を利用するにはHTTPS接続が必要となっているため、HTTPSのWebページのみ「HTTP/2」を用いてレスポンス速度を速めることができます。

アクセスログ解析の精度向上

Google Analyticsなどのアクセスログ解析ツールでユーザーがどのサイトから訪れているかを示すリファラー情報を入手することができます。しかし、主要ブラウザでは、HTTPSサイトからHTTPサイトに遷移した場合、ユーザーのリファラー情報を引き渡さない仕様になっているため、本来リファラーであってもノーリファラーとして扱われてしまいます。
常時SSL(HTTPS)サイトにすることで、HTTPSサイトから遷移してきたユーザーのリファラー情報を引き渡すことができるため、参照元サイトをしっかりと把握することができます。

さいごに

常時SSLが必要な理由をご理解いただけましたでしょうか?今後ますます常時SSL化は広がりを見せていくことが予想されます。今回は、常時SSLの背景を理解していただくために、常時SSL化のメリットを中心にご紹介しました。しかし、常時SSL化には導入面においてデメリットや障害が存在します。これについては、次の機会に説明していきたいと思います。

この記事のカテゴリ:

SNSで最新の情報を
受け取ることができます!